Home > Àüü±â»ç

Ȧ¸®µ¥ÀÌ ¿ÍÀÌÆÛ·Î ±ÍȯÇÑ ±Ý¼º 121ÀÇ ·ÎÄÏ¸Ç APT Ä·ÆäÀÎ

ÀÔ·Â : 2019-01-23 16:12
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
2019³â 1¿ù 18ÀÏ ¡®ÀÛÀü¸í Ȧ¸®µ¥ÀÌ ¿ÍÀÌÆÛ¡¯ ¹ß°ß...2018³â 8¿ù ÀÛÀü¸í ¡®·ÎÄÏ ¸Ç¡¯ º¯Á¾ ÃßÁ¤
ESRC, Ä¡¹ÐÇÏ°Ô ÁغñµÈ APT °ø°ÝÀ¸·Î Á¤ÀÇ...KISA¿Í ÇùÁ¶ÇÏ¸ç ´ëÀÀ


[º¸¾È´º½º ¿øº´Ã¶ ±âÀÚ] ¾à 10ÀÏ ¾ÕÀ¸·Î ´Ù°¡¿Â ¼³ ¿¬ÈÞ¸¦ ³ë¸° ½É¸®±â¹Ý ½ºÇǾîÇǽÌ(Spear Phishing) °ø°ÝÀÌ ¹ß°ßµÅ »ç¿ëÀÚµéÀÇ ÁÖÀǸ¦ ÁÖ°í ÀÖ´Ù. ƯÈ÷ À̹ø °ø°ÝÀº Ä¡¹ÐÇÏ°Ô ÁغñµÈ ÀÛÀüÀ¸·Î º¸À̸ç, 2018³â 8¿ù <º¸¾È´º½º>°¡ º¸µµÇß´ø ¡®ÀÛÀü¸í ·ÎÄÏ ¸Ç¡¯ °ø°ÝÀÇ º¯Á¾À¸·Î ºÐ¼®µÆ´Ù.

[À̹ÌÁö=iclickart]


À̽ºÆ®½ÃÅ¥¸®Æ¼ »çÀ̹ö À§Çù ÀÎÅÚ¸®Àü½º(CTI) Àü¹®Á¶Á÷ÀÎ ½ÃÅ¥¸®Æ¼´ëÀÀ¼¾ÅÍ(ÀÌÇÏ ESRC)´Â 2019³â 1¿ù 18ÀÏ Á¦ÀÛµÈ »õ·Î¿î ·ÎÄÏ¸Ç Ä·ÆäÀÎ º¯Á¾À» ¹ß°ßÇß´Ù°í ¹àÇû´Ù. ÀÌ °ø°ÝÀº ÀÛÀü¸í ·ÎÄÏ ¸Ç °ø°ÝÀÇ HWP ¹®¼­ ÆÄÀÏ Ãë¾àÁ¡ ´ë½Å MS Office XLS ¹®¼­ÆÄÀÏ Ãë¾àÁ¡À» ¾Ç¿ëÇß´Ù. ¾Ç¼ºÆÄÀÏÀº ¡®È«»ï6Ç°´Ü°¡ .xlsx¡¯À̶õ ÆÄÀϸíÀ¸·Î, °ð ´Ù°¡¿À´Â Çѱ¹ÀÇ ¼³¿¬ÈÞ ½ÃÁðÀ» »çȸ°øÇÐÀû ±â¹ý°ú ±³¹¦È÷ °áÇÕÇØ ½É¸®±â¹Ý ½ºÇǾîÇǽÌ(Spear Phishing) °ø°Ý¿¡ È°¿ëµÉ °ÍÀ¸·Î º¸ÀδÙ.

¡ã·ÎÄÏ¸Ç ÀÛÀü¿¡¼­ »ç¿ëµÈ HWP ¹®¼­ÆÄÀÏ¿¡ µî·ÏµÈ HighExpert[ÀÚ·á=ESRC]


Èï¹Ì·Î¿î Á¡Àº ±âÁ¸ HWP ¹®¼­ÆÄÀÏ¿¡¼­ ¹ß°ßµÆ´ø ¡®HighExpert¡¯ °èÁ¤ÀÌ À̹ø °ø°Ý¿¡µµ µ¿ÀÏÇÏ°Ô »ç¿ëµÇ¾ú´Ù´Â Á¡À̸ç, Ãß°¡·Î »ý¼ºµÇ´Â ¾Ç¼º EXE ÆÄÀϵµ ¿¹Àü °ø°Ý¿¡ ÀÌ¿ëµÈ °Í°ú ¸¶Âù°¡Áö·Î Çѱ¹ÀÇ N Æ÷ÅÐ»ç º¸¾È ÇÁ·Î±×·¥ ¾ÆÀÌÄÜÀ¸·Î À§ÀåÇÏ°í ÀÖ´Ù.

2018³â ´ç½Ã ¡®·ÎÄϸǡ¯ APT(Áö´ÉÇüÁö¼ÓÀ§Çù) °ø°ÝÀº HWP ¹®¼­ÆÄÀÏÀÇ Ãë¾àÁ¡À» ÀÌ¿ëÇØ ÁøÇàµÆ´Ù. ´ç½Ã, Çѱ¹ÀÇ Æ¯Á¤ À¥ »çÀÌÆ®¸¦ ÇØÅ·ÇØ ¾Ç¼º HWP ¹®¼­¸¦ µî·ÏÇØ µÎ¾ú°í, ½ÇÁ¦ À̸ÞÀÏ¿¡´Â URL ¸µÅ© ¹æ½ÄÀÇ °ø°Ý º¤Å͸¦ È°¿ëÇß´Ù. APT °ø°Ý¿¡ »ç¿ëµÈ 'ÅëÁö.HWP' Ãë¾àÁ¡ ÆÄÀÏ¿¡´Â Á¦ÀÛÀÚ¿Í ¸¶Áö¸· ¼öÁ¤ÀÚ ¸ðµÎ ¡®HighExpert¡¯ °èÁ¤ÀÌ »ç¿ëµÆ´Ù. ESRC¿¡¼­´Â ÇØ´ç À§Çù Á¶Á÷À» ƯÁ¤ Á¤ºÎ°¡ Áö¿øÇÏ´Â ±¹°¡Â÷¿øÀÇ ÇØÅ·±×·ìÀ¸·Î ºÐ·ùÇß°í, ¡®±Ý¼º121(Geumseong121)¡¯·Î ĪÇß¾ú´Ù.

À̹ø ¾Ç¼º ¹®¼­ÀÇ ¸¸µç ÀÌ´Â ¡®RKS¡¯·Î ÁöÁ¤µÇ¾î ÀÖ°í, ¸¶Áö¸·À¸·Î ¼öÁ¤ÇÑ »ç¶÷¿¡ ¡®HighExpert¡¯ ¾ÆÀ̵𰡠Æ÷ÇԵǾî ÀÖ´Ù. ESRC´Â À̹ø °ø°Ý¿¡ È°¿ëµÈ ÄÚµå Áß¿¡ ¼³¿¬ÈÞ ¼±¹° ½ÃÁð°ú ½Ã½ºÅÛÀ» Æı«ÇÏ´Â ±â´ÉÀÇ ÆÄÀÏ¸í µîÀ» Á¶ÇÕÇØ ¡®ÀÛÀü¸í Ȧ¸®µ¥ÀÌ ¿ÍÀÌÆÛ(Operation Holiday Wiper)¡¯·Î À̸§ Áö¾ú´Ù.

¡ãHighExpert °èÁ¤ÀÌ Æ÷ÇÔµÈ È­¸é[ÀÚ·á=ESRC]


¡®È«»ï6Ç°´Ü°¡ .xlsx¡¯ ¹®¼­ÆÄÀÏÀº ½ÇÇàÇÒ °æ¿ì ´ÙÀ½°ú °°ÀÌ È«»ï Á¦Ç°°ü·Ã ´Ü°¡ ¸®½ºÆ®°¡ º¸À̸ç, ÀϺΠ¹®ÀÚ°¡ ±úÁ®ÀÖ´Ù. ±×¸®°í º»¹® ÇÏ´Ü¿¡´Â ¡®±ÛÀÚ°¡ ±ú¿©Áö¸é À§¿¡ ÀÖ´Â ÄÜÅÙÃ÷Çã¿ë ¹öÆ°À» ´­·¯º¸¼¼¿ä.¡¯¶ó´Â »¡°£»ö ±ÛÀÚ·Î [ÄÜÅÙÃ÷ »ç¿ë] ¹öÆ° Ŭ¸¯À» À¯µµÇÏ°í ÀÖ´Ù.

¡ã¾Ç¼º¹®¼­ ¡®È«»ï6Ç°´Ü°¡ .xlsx¡¯ ÆÄÀÏÀÌ ½ÇÇàµÈ È­¸é[ÀÚ·á=ESRC]


¿©±â¼­ »ç¿ëµÈ ¹®±¸ Áß¿¡ ¡®±ú¿©Áö¸é¡¯À̶ó´Â ´Ü¾î´Â »ç½Ç Çѱ¹Àû Ç¥Çö(±úÁö¸é)º¸´Ù´Â ºÏÇÑ¿¡¼­ »ç¿ëÇϴ ǥÇö¿¡ °¡±õ´Ù. ¾Æ·¡´Â ½ÇÁ¦ ºÏÇÑ¿¡¼­ »ç¿ë ÁßÀΠǥÇö ¹æ½Ä Áß ÀϺδÙ.

¡ãºÏÇÑ¿¡¼­ »ç¿ë ÁßÀΠǥÇö ¹æ½Ä[ÀÚ·á=ESRC]


ÄÚµå±â¹Ý °ø°Ý º¤ÅÍ ºÐ¼®
½ºÇǾîÇÇ½Ì ÇØÅ· ¸ÞÀÏÀ» ¼ö½ÅÇÑ »ç¶÷ÀÌ ¸¸¾à ÇØ´ç ÆÄÀÏÀ» ´Ù¿î·ÎµåÇØ, [ÄÜÅÙÃ÷ »ç¿ë] ¹öÆ°À» ´©¸£°Ô µÇ¸é, MS ¿ÀÇǽº ¹öÀü°ú ¼³Á¤¿¡ µû¶ó ´ÙÀ½°ú °°ÀÌ º¸¾È °æ°í âÀÌ ³ªÅ¸³ª±âµµ ÇÑ´Ù. À̶§ ¸¸¾à [¿¹(Y)] ¹öÆ°À» ´©¸£°Ô µÇ¸é ¾ÇÀÇÀûÀÎ ¸ÅÅ©·Î Äڵ尡 ÀÛµ¿ÇÏ°Ô µÈ´Ù.

º¸¾È»ó Ãë¾àÇÑ Äڵ尡 ÀÛµ¿À» ÇÏ°Ô µÇ¸é, XLS ³»ºÎ¿¡ Æ÷ÇԵǾî ÀÖ´Â ÀͽºÅͳΠ¸µÅ© Äڵ尡 ÀÛµ¿ÇÏ°í, ±× ´ÙÀ½¿¡ ÆÄ¿ö½© ÀÓÆ÷Æ® ¸ðµâ ¸í·ÉÀ» ÅëÇØ Çѱ¹ÀÇ ÀÇ·á°ü·Ã ƯÁ¤ À¥ »çÀÌÆ®·Î Á¢¼ÓÇØ Ãß°¡ ¾Ç¼ºÆÄÀÏÀ» ´Ù¿î·ÎµåÇÏ°í ½ÇÇàÇÑ´Ù. ´Ù¿î·ÎµåµÉ ¶§ ¾Ç¼ºÄÚµå´Â %temp% Æú´õ °æ·Î¿¡ ¡®aqq.exe¡¯¶õ ÆÄÀϸíÀ¸·Î »ý¼ºµÈ´Ù.

¡ã¾Ç¼º ÆÄ¿ö½© ¸í·ÉÀ» ÅëÇÑ Ãß°¡ ÆäÀÌ·Îµå ´Ù¿î·Îµå ÄÚµå È­¸é[ÀÚ·á=ESRC]


ÀÓ½ÃÆú´õ °æ·Î¿¡ »ý¼ºµÈ ÆÄÀÏÀº ±âÁ¸ ¡®·ÎÄÏ¸Ç ÀÛÀü¡¯¿¡¼­ »ç¿ëµÈ °Í°ú µ¿ÀÏÇÏ°Ô Çѱ¹ÀÇ Æ÷ÅÐ »ç º¸¾È ÇÁ·Î±×·¥ ¾ÆÀÌÄÜÀ¸·Î À§ÀåÇÑ °ÍÀÌ Æ¯Â¡ÀÌ´Ù.

¡ã¾Ç¼ºÄڵ尡 »ç¿ëÇÑ ¾ÆÀÌÄÜ°ú Çѱ¹ Æ÷ÅÐ»ç º¸¾È ÇÁ·Î±×·¥ÀÇ À̹ÌÁö ºñ±³[ÀÚ·á=ESRC]


Çѱ¹ÀÇ À¯¸í Æ÷ÅÐ»ç º¸¾ÈÇÁ·Î±×·¥ ¾ÆÀÌÄÜÀ¸·Î À§ÀåÇÑ ¾Ç¼ºÄÚµå´Â 2019³â 1¿ù 17ÀÏ ¿ÀÈÄ 3½Ã 41ºÐ °æ Á¦ÀÛµÆÀ¸¸ç, ÇØÅ·µÈ °ÍÀ¸·Î ÃßÁ¤µÇ´Â Çѱ¹ÀÇ ÀÇ·á°ü·Ã À¥ »çÀÌÆ®(C2)¿Í Åë½ÅÀ» ½ÃµµÇÑ´Ù. Ãß°¡ Åë½Å°ú ¸í·ÉÀÌ Á¤»óÀûÀ¸·Î ¼öÇàµÇ¸é ¡®U3.conf¡¯, ¡®U4.conf¡¯, ¡®defaults.conf¡¯ ÆÄÀÏ µîÀÌ Ãß°¡·Î ´Ù¿î·Îµå µÈ´Ù.

À̹ø °ø°Ý¿¡ »ç¿ëµÈ ¾Ç¼ºÄÚµå ³»ºÎ¿¡¼­µµ ±âÁ¸°ú µ¿ÀÏÇÏ°Ô ¡®Rocket¡¯ °æ·Î°¡ ¹ß°ßµÆ´Ù.

¡ãRocket PDB°¡ Æ÷ÇԵǾî ÀÖ´Â È­¸é[ÀÚ·á=ESRC]


- E:\project\windows\Rocket\Ant\Api\PubnubApi\obj\Debuget35\Pubnub.pdb

¡®U.conf¡¯ ÆÄÀÏÀÌ ¸ÞÀÎ ¼÷ÁÖÀ̸ç, ÀÌ ÆÄÀÏÀº 2019³â 1¿ù 17ÀÏ ¼öÁ¤ÀÌ µÈ °ÍÀ» ¾Ë ¼ö ÀÖ½À´Ï´Ù. ÀÌ ÆÄÀÏ¿¡ ÀÇÇؼ­ Ãß°¡ ÆÄÀÏÀÌ ´Ù¿î·ÎµåµÇ´Â °úÁ¤À» °ÅÄ£´Ù.

¡ã¾Ç¼ºÄڵ尡 ´Ù¿î·ÎµåµÇ´Â ÆÐŶ È­¸é[ÀÚ·á=ESRC]


Ãß°¡·Î ´Ù¿î·ÎµåµÇ´Â ÆÄÀϵéÀº ±âÁ¸ ·ÎÄÏ¸Ç °ø°Ý°ú À¯»çÇÏ°Ô ´å³Ý ±â¹ÝÀ¸·Î ÇÁ·Î±×·¡¹ÖµÈ ¾Ç¼ºÄڵ尡 »ç¿ëµÆÀ¸¸ç, ÀÌ ÄÚµåµéÀº 2018³â 12¿ù 11ÀÏ Á¦ÀÛµÈ °ÍÀ¸·Î ºÐ¼®µÆ´Ù.

°ø°ÝÀÚ´Â À̹ø¿¡µµ ÇØÅ·µÈ ƯÁ¤ À¥ »çÀÌÆ®¿¡ ¾ÏȣȭµÈ Åë½Å ¸í·É ÆÄÀÏÀ» µî·ÏÇØ µÎ¾ú°í, ¼­ºñ½º·Î¼­ÀÇ ÀÎÇÁ¶ó½ºÆ®·°Ã³(Infrastructure as a Service)ÀÇ ÇϳªÀÎ ÆÛºê³Êºê(PubNub) ä³Î·Î ¸í·ÉÁ¦¾î(C2)Åë½ÅÀ» ½ÃµµÇÑ´Ù.

¾ÏȣȭµÈ Äڵ带 º¹È£È­ÇÏ¸é ´ÙÀ½°ú °°ÀÌ PubNub »çÀÌÆ®·Î Åë½ÅÇÏ´Â Äڵ尡 È®ÀεȴÙ.

ps.pndsn.compeihesub-c-66d9ea22-fb4a-11e8-b809-8ee1f208b3b7pub-c-9eca65af-bfd9-4759-8dbe-bedf6b710673sec-c-N2YyZmZlYzQtOWI2MS00NjU2LWI0ZTktMzU0MTMzZGE1ZDhmcip-c-yougotthekeyplease9738

°ø°ÝÀÚ ¸í·É¿¡ µû¶ó ÆÄÀÏ »èÁ¦ µî ½Ã½ºÅÛ Æı«(Wiper) ¸í·É ¼öÇà
°ø°ÝÀÚ´Â PubNub »çÀÌÆ®¸¦ ÅëÇØ °¨¿°µÈ ½Ã½ºÅÛ Áß Á¶°Ç¿¡ µû¶ó Æú´õ¿Í ÆÄÀÏÀ» »èÁ¦ÇÏ´Â ±â´ÉÀÇ Ãß°¡ ¸í·ÉÀ» ³»¸®±âµµ ÇÑ´Ù. µû¶ó¼­ °ø°ÝÀÚ°¡ ÁöÁ¤ÇÑ ½Ã½ºÅÛÀÇ °æ¿ì ÁÖ¿ä µ¥ÀÌÅÍ°¡ Æı«µÇ´Â ÇÇÇظ¦ ÀÔÀ» ¼öµµ ÀÖ´Ù.

¡ãÆú´õ¿Í ÆÄÀÏ »èÁ¦ ±â´É ÄÚµå È­¸é[ESRC]


ESRC´Â À̹ø APT °ø°ÝÀÌ Ä¡¹ÐÇÏ°Ô ÁغñµÈ °ø°Ý Áß¿¡ Çϳª·Î º¸°í ÀÖÀ¸¸ç, Çѱ¹ÀÎÅͳÝÁøÈï¿ø(KISA) µî°ú ±ä¹ÐÇÏ°Ô ÇùÁ¶ÇÏ°í ÀÖ´Ù°í ¹àÇû´Ù.
[¿øº´Ã¶ ±âÀÚ(boanone@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)